Les présentes règles de confidentialité spécifiques à l’application DOLMEN ONE ont pour objet de définir les conditions des traitements des données à caractère personnel opérés via l’application DOLMEN ONE, en complément des règles développées de façon détaillée dans les Conditions Générales de DOLMEN.
2.1. Fonctionnalités
DOLMEN ONE offre à ses abonnés et utilisateurs les fonctionnalités suivantes :
2.2. Collecte
Aucune collecte des données n’est réalisée à partir de l’application DOLMEN ONE.
2.3. Cookies
L’application DOLMEN ONE utilise des cookies ou des technologies similaires afin de permettre la mémorisation et le stockage de manière cryptée du login et du mot de passe de l’utilisateur.
2.4. Analytics
DOLMEN peut utiliser au sein de l’application DOLMEN ONE des outils d’analytics permettant d’analyser le trafic sur l’application pour mieux comprendre comment ses abonnés utilisent l’application DOLMEN ONE et ainsi optimiser leur expérience. DOLMEN peut par exemple traiter des informations statistiques sur la fréquence d’utilisation de l’application ou encore les fonctionnalités utilisées.
2.5. Push notifications
L’application DOLMEN ONE peut proposer aux abonnés et utilisateurs de recevoir des informations concernant l’activité de leur compte via des Push notifications. Les abonnés et utilisateurs peuvent désactiver à tout moment ces Push notifications en se rendant dans le panneau Paramètres de leur téléphone.
2.6. Usage de l’appareil photo
L’application DOLMEN ONE demande au préalable l’autorisation des abonnés et utilisateurs pour établir un accès et une connexion à leur appareil photo afin de leur permettre de prendre des photos pour leurs campagnes de communication directement depuis l’application. L’abonné ou utilisateur peut refuser cet accès à son appareil photo directement au sein de l’application. Il appartient aux abonnés et utilisateurs de s’assurer qu’ils ont les droits et validations nécessaires sur les objets et personnes qui pourraient être photographiés via l’application DOLMEN ONE.
L’abonné aura seul la qualité de « Responsable », tel que visé par l’article 3-I de la loi Informatique et Libertés du 6 janvier 1978, du traitement des données à caractère personnel exploitées au moyen de son utilisation de l’application mobile DOLMEN ONE qu’il aura décidé de mettre en œuvre, étant rappelé que la base de données correspondante sera la propriété de l’abonné.
DOLMEN n’interviendra quant à elle qu’en qualité de « Sous-traitant » tel que visé à l’article 35 de la loi Informatique et Libertés du 6 janvier 1978, agissant pour le compte de l’abonné et sur instruction de ce dernier, prenant notamment toutes les dispositions nécessaires en matière de protection de la sécurité et de la confidentialité des données traitées au regard de la réglementation en vigueur.
A cet égard, DOLMEN et l’abonné se garantissent mutuellement qu’ils se conformeront (i) à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, (ii) au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, cela à compter de son entrée en vigueur en date du 25 mai 2018 et (iii) à tout autre disposition législative ou réglementaire nationale applicable pendant toute la durée du Contrat d’abonnement à l’application DOLMENT ONE.
DOLMEN et l’abonné s’assisteront par ailleurs entre eux, à l’effet de démontrer qu’ils ont effectivement respecté ces dispositions légales et/ou réglementaires.
4.1. Obligations générales
DOLMEN garantit qu’elle dispose de compétences techniques et organisationnelles nécessaires afin de réaliser les opérations de traitement de données à caractère personnel qui lui sont confiées par l’abonné à travers l’application DOLMEN ONE, dans le respect des obligations fixées par le document et uniquement pour le périmètre et dans les conditions fixées par le Contrat d’abonnement à l’application DOLMEN ONE le liant à l’abonné.
A ce titre, DOLMEN s’engage à :
DOLMEN s’engage par ailleurs, dans les conditions ci-après exposées :
4.2. Sécurité et confidentialité des données à caractère personnel
DOLMEN prendra toute mesure nécessaire pour préserver l’intégrité, la disponibilité et la confidentialité des données à caractère personnel qu’elle traitera pour le compte de l’abonné.A cet effet, DOLMEN s’engage à mettre en place les mesures techniques et organisationnelles permettant d’assurer, compte tenu de l’état des règles de l’art, un niveau de sécurité et de confidentialité approprié au regard des risques présentés par le traitement et la nature des données à caractère personnel traitées.
DOLMEN s’engage notamment à :
DOLMEN s’engage en particulier à mettre en œuvre les mesures de sécurité suivantes selon les besoins, à savoir :
DOLMEN s’engage à mettre à disposition de l’abonné, le descriptif détaillé du dispositif technique et organisationnel mis en œuvre en application du présent article.
Les données à caractère personnel traitées en exécution du Contrat d’abonnement à l’application DOLMEN ONE ne pourront faire l’objet d’aucune divulgation à des tiers en dehors des cas prévus dans le Contrat d’abonnement ou de ceux prévus par une disposition légale et/ou réglementaire.
DOLMEN mettra en place des procédures assurant que les tiers qu’elle autorise à accéder aux données à caractère personnel, y compris ses éventuels sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel.
DOLMEN devra informer l’abonné de toute demande d’accès ou de communication émanant d’un tiers se prévalant d’une autorisation découlant de l’application de dispositions légales ou réglementaires. Avant tout accès ou communication, DOLMEN devra avoir procédé aux vérifications nécessaires quant au bienfondé de la demande de communication, notamment auprès de l’abonné.
4.3. Sous-traitance
DOLMEN pourra faire appel à tous sous-traitants de second rang pour mener des activités de traitement spécifiques, ce que l’abonné accepte d’ores et déjà. Dans un tel cas, DOLMEN informera préalablement et par écrit l’abonné de tout changement envisagé concernant l’ajout ou le remplacement d’autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l’identité et les coordonnées des sous-traitants et les dates des contrats de sous-traitance.
Tout sous-traitant de DOLMEN sera tenu de respecter les obligations visées par le document pour le compte et selon les instructions de l’abonné. Il appartiendra à DOLMEN de s’assurer que ses sous-traitants présenteront les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Si un sous-traitant ne remplissait pas ses obligations en matière de protection des données, DOLMEN demeurera alors pleinement responsable devant l’abonné de l’exécution par ledit sous-traitant de ses obligations.
4.4. Transferts de Données en dehors de l’Union européenne
DOLMEN s’engage à traiter les données à caractère personnel exclusivement sur le territoire d’un pays membre de l’Union européenne.
DOLMEN s’engage à ne pas divulguer ni transférer les données à caractère personnel, même à des fins de transit, à un abonné ou un sous-traitant dans un pays tiers situé en dehors de l’Union européenne.<
DOLMEN devra s’assurer qu’aucune information à caractère personnel n’est transférée hors de l’Union européenne par ses propres sous-traitant ou partenaires.
4.5. Notification des violations de données à caractère personnel
DOLMEN notifiera à l’abonné toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance et par tous moyens de communication appropriés. Cette notification est accompagnée de toute documentation utile afin de permettre à l’abonné, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
4.6. Aide de DOLMEN dans le cadre du respect par l’abonné de ses obligations
DOLMEN s’engage à :
4.7. Sort des données
A l’issue du Contrat d’abonnement, DOLMEN s’engage à restituer ou à détruire, selon les instructions et dans les délais indiqués par l’abonné, l’ensemble des données à caractère personnel traitées pour le compte de l’abonné de manière automatisée ou manuelle, à moins que le droit de l’Union ou le droit français n’exige la conservation des données caractère personnel. DOLMEN devra, également, restituer à l’abonné toutes les données, dossiers ou fichiers manuels détenus.
Toute restitution de données devra s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de DOLMEN qui devra en attester par écrit.
D’une manière plus générale, dans le cas d’une destruction des données, celle-ci sera attestée par la rédaction d’un procès-verbal de destruction.
4.8. Délégué à la protection des données
DOLMEN communiquera à l’abonné le nom et les coordonnées de son délégué à la protection des données.
4.10. Registre des catégories d’activités de traitement
DOLMEN fera son affaire personnelle de la bonne tenue de son propre registre des traitements de données à caractère personnel en veillant à inscrire dans son registre toutes les catégories d’activités de traitement qu’elle effectuera pour le compte de l’abonné.
A ce titre, ce registre devra mentionner :
DOLMEN permettra la consultation de ce registre par l’autorité de contrôle, sur simple demande.
4.11. Documentation
DOLMEN mettra à la disposition de l’abonné les informations et la documentation nécessaires pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d’audits, y compris des inspections, par l’abonné ou un autre auditeur qu’il a mandaté, et contribuer à ces audits.
4.12. Audit
L’abonné, s’il le souhaite, pourra réaliser un audit, tant au cours de l’exécution du Contrat d’abonnement qu’à son issue, directement ou par l’intermédiaire de tout sous-traitant externe indépendant, non concurrent direct de DOLMEN, afin de s’assurer du respect des obligations de DOLMEN au titre du présent document, mais également afin de répondre à toute demande de la CNIL ou d’une autorité judiciaire ou administrative.
L’abonné communiquera à DOLMEN préalablement, et au moins deux mois à l’avance toute demande d’opération d’audit, la date de l’audit ainsi que le nom et les coordonnées des personnes en charge de l’audit. DOLMEN ne pourra refuser sans motif légitime les personnes désignées pour réaliser l’audit. En cas de refus, les Parties se rencontreront afin de s’accorder sur la désignation de l’auditeur. Tout différend sera porté devant les juridictions compétentes.
DOLMEN collaborera de bonne foi avec l’auditeur et lui communiquera toutes informations, documents ou explications nécessaires à la réalisation de l’audit et lui permettra d’accéder à tous sites, installations informatiques, outils et moyens de DOLMEN utilisés pour rendre les prestations.
Au cas où l’audit ferait apparaître des manquements aux obligations de DOLMEN, cette dernière s’engage expressément à mettre en œuvre à ses frais toutes les mesures correctives nécessaires dans un délai de quatre-vingt-dix (90) jours à compter de la notification des manquements à DOLMEN et à en justifier par écrit auprès de l’abonné.
D’une manière générale, l’abonné fera son affaire personnelle du respect de l’ensemble de ses propres obligations en qualité de responsable de traitement de données à caractère personnel.
L’abonné s’engage notamment à documenter par écrit toute instruction concernant le traitement des données par DOLMEN.